Welche Bedeutung hat es für die Übertragung von Daten, wenn Großbritannien zum 31.01.2020 die Europäische Union verlassen wird?
Zunächst bleibt alles beim Alten. Bis zum 31.12.2020 wird Großbritannien so behandelt, als gehöre es noch zur EU. Diese sogenannte Übergangsphase dient dazu, das zukünftige Verhältnis zwischen den Partnern zu regeln. Zwar hat die EU Großbritannien die theoretische Möglichkeit einer Verlängerung der Übergangsphase um ein oder zwei Jahre bis maximal Ende 2022 eingeräumt. Diese Möglichkeit wurde allerdings durch das im britischen Unterhaus beschlossene Gesetz ausgeschlossen.
Ob und wie die endgültigen Regelungen getroffen werden, dürfte in den nächsten Monaten Gegenstand weiterer intensiver Verhandlungen sein. Die von der EU gewährte Verlängerungsoption muss bis Ende Juni 2020 durch Großbritannien in Anspruch genommen werden, ansonsten haben wir Ende 2020 dann doch eine ungeregelte Rechtslage. Andererseits wurden den Briten seitens der EU immer wieder Verlängerungen gewährt, so dass auch diesbezüglich noch alle Fragen offen sind. Es dürfte im Interesse von Großbritannien liegen, die Verhandlungen zügig zu führen, denn im Übergangszeitraum muss das Land weiterhin Beiträge zur EU zahlen, ohne jedoch ein Mitspracherecht zu haben.
Nach Ablauf des Übergangszeitraums ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden
Allerdings kann eine entsprechende Einschätzung durch die Kommission natürlich erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird, womit der erste Schritt wieder einmal durch die Briten gemacht werden muss.
Wir werden Sie weiter auf dem Laufenden halten.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.
Doch es kam anders.
Ausgangsfrage
Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.
Wirksamkeit der Standardvertragsklauseln
Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.
Wirksamkeit des Privacy Shields
Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.
Pragmatismus
Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.
Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.
Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.
Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juni seinen Tätigkeitsbericht für 2018/2019 veröffentlicht und damit einen Einblick in die aktuellen datenschutzrechtlichen Entwicklungen in der Schweiz gegeben. Mit diesen Themen hat sich der EDÖB in seinem Bericht befasst:
Totalrevision des Datenschutzgesetzes
Die Totalrevision des Datenschutzgesetzes (DSG) in der Schweiz steht immer noch aus. In einem ersten Teil wurde bereits das Schengen-Datenschutzgesetz (SDSG) verabschiedet, dessen Geltung sich auf die Datenerhebung der Strafverfolgungsbehörden des Bundes beschränkt. Das SDSG soll durch das totalrevidierte DSG jedoch wieder aufgehoben werden. Ein Abschluss der Beratungen der Totalrevision des DSG von 1992 ist aber noch nicht in Sicht. Dadurch entstehen Wettbewerbsnachteile bei Schweizer Unternehmen, die ihren Kunden – genauso wie ihre Konkurrenten in den Staaten der EU und des EWR – einen den europäischen Standards entsprechenden Schutz bieten wollen.
Denn zahlreiche Schweizer Unternehmen geraten in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO). So z.B. wenn ein Schweizer Unternehmen eine Niederlassung in der EU hat, Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von Kunden in der EU beobachtet (z.B. deren Surfverhalten), um personalisierte Angebote zu unterbreiten. Das Nebeneinander von DSGVO und DSG führt aber zu Rechtsunsicherheit auf Seiten der Unternehmen, die durch das totalrevidierte DSG aufgelöst werden kann. Es bleibt daher zu hoffen, dass die Totalrevision des Datenschutzgesetzes nicht mehr allzu lange auf sich warten lässt.
Swiss-US Privacy Shield
Im Herbst 2018 wurde das Swiss-US Privacy Shield in Brüssel überprüft und in dem Zusammenhang auch Verbesserungen durch die US-Behörden vorgenommen. So wurde beispielsweise verstärkt nach „false claims“ gesucht, d.h. nach Unternehmen die sich fälschlicherweise als Swiss-US Privacy Shield zertifiziert ausgaben. Unternehmen werden außerdem regelmäßiger auf Schwachstellen überprüft und die US Behörden überwachen die Zertifizierung strenger.
Im Berichtsjahr wurden dem EDÖB zwei „false claims“ gemeldet und es wurden zehn berechtigte Beschwerden von Betroffenen aus der Schweiz bei unabhängigen Beschwerdestellen (Independent Recourse Mechanism) eingereicht. Dies zeigt, dass die Rechtsinstrumente des Swiss-US Privacy Shield bisher nur wenig genutzt werden. Vor einer offiziellen Beschwerde wird jedoch in der Regel erst das zertifizierte Unternehmen selbst angegangen und die Datenschutzverletzung vermutlich bereits auf diesem Weg beseitigt. Außerdem ist das Übereinkommen auch erst seit April 2017 in Kraft.
Trotz einiger Schwachstellen, konnte die Funktionsweise des Swiss-US Privacy Shield insgesamt verbessert werden. Seit dessen Inkrafttreten haben sich bereits rund 2900 US-Unternehmen zertifizieren lassen.
Überprüfung des Datenschutzniveaus
Die Europäische Kommission hat der Schweiz zuletzt 2000 ein angemessenes Datenschutzniveau attestiert und nun angekündigt das Schweizer Datenschutzniveau auf Grundlage der DSGVO neu zu bewerten und den Angemessenheitsentscheid 2020 zu veröffentlichen. Für die Schweiz wäre es natürlich von Vorteil, wenn dies aufgrund des totalrevidierten DSG bewertet würde und nicht aufgrund des alten DSG von 1992. Ein entscheidendes Kriterium für den Angemessenheitsbeschluss ist nach Aussage der Europäischen Kommission auch das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) des Europarates, das seit Oktober 2018 zur Unterzeichnung vorliegt.
Es besteht die Gefahr, dass die EU der Schweiz den Angemessenheitsbeschluss entzieht, wenn die Schweiz ihre Änderungen zum Datenschutz nicht rechtzeitig verabschieden. Wir werden die Entwicklungen daher im Blick behalten, um in diesem Fall zeitnah bei unseren Kunden mit EU-Standardvertragsklauseln reagieren zu können.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Datenschutzgrundverordnung (DSGVO) ist nun fast ein Jahr alt. Die anfängliche Aufregung in Europa war spürbar, doch es ist etwas ruhiger geworden um die DSGVO. Aktuell werden aber auch nicht EU ansässige Firmen langsam auf die DSGVO aufmerksam.
Unternehmen, die keinen Firmensitz in der EU haben, aber ihre Produkte oder Dienstleistungen in der Europäischen Union anbieten, müssen – sofern sie personenbezogene Daten von in der EU befindlichen Personen verarbeiten – einen Vertreter in der Union bestellen (Art. 27 Abs. 1 DSGVO). Durch das im Rahmen der DSGVO eingeführte sogenannte Marktortprinzip gilt die Verordnung nämlich nicht mehr nur für Unternehmen, die innerhalb der Europäischen Union niedergelassen sind. Vielmehr wird darauf abgestellt, ob Unternehmen, unabhängig vom Firmensitz, ihre Waren oder Dienstleistungen innerhalb der EU anbieten und dabei personenbezogene Daten von in der EU befindlichen Personen verarbeiten. In welchem Land tatsächliche die Verarbeitung der Daten erfolgt ist dabei nicht relevant.
Dieser EU-Vertreter ist die Anlaufstelle für alle Fragen zum Datenschutz von betroffenen Personen sowie der Kontakt für Datenschutz-Aufsichtsbehörden und hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten. Der EU-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.
Auch die Aufsichtsbehörden haben bereits darauf aufmerksam gemacht, dass Sie auch für diese Fälle vermehrt Kontrollen durchführen werden. Nicht in der EU ansässige Unternehmen sollten zeitnah prüfen ob Sie für Ihre Datenverarbeitung einen solchen Vertreter benötigen und anschließend, wenn nötig, einen solchen bestellen. Auch die it.sec bietet die Möglichkeit der Bestellung eines EU-Vertreters. Kontaktieren Sie uns gerne.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Einleitung
Eigentlich sollte es ganz einfach sein: Durch das sogenannte One-Stop-Shop-Prinzip gibt es immer eine Aufsichtsbehörde, die sich federführend um Datenschutzbelange kümmert. Dadurch soll erreicht werden, dass einerseits die Verbraucher nicht mehr von einer Aufsichtsbehörde an die nächste verwiesen werden, andererseits sind besonders für international agierende Unternehmen nur noch eine Aufsichtsbehörde zuständig. So zumindest die Theorie.
Datenschutzverletzungen sind den jeweils zuständigen Aufsichtsbehörden zu melden. Dabei ist die Aufsichtsbehörde zuständig, in deren Bereich die Datenschutzverletzung stattgefunden hat. Insbesondere im Fall der grenzüberschreitenden Datenverarbeitung kann es jedoch mitunter schwierig sein, die zuständige Aufsichtsbehörde zu identifizieren.
Grenzüberschreitende Datenverarbeitung mit mehr als einem Mitgliedsstaat
Im Falle der grenzüberschreitenden Datenverarbeitung an der mehr als ein Mitgliedsstaat beteiligt ist, ist die Datenschutzbehörde zuständig, in der der Hauptsitz des Unternehmens ist.Wissenswert ist in diesem Zusammenhang, dass die Art. 29-Gruppe eine Leitlinie (WP 244) dazu veröffentlicht hat, wonach maßgeblich sein soll, wo (in welchem Land) die Entscheidung über die Verarbeitung getroffen wird. Im Zweifel soll das Unternehmen selbst ermitteln (dürfen), wo seine Hauptniederlassung ist und welche Aufsichtsbehörde damit als federführende Behörde fungiert. Diese Entscheidung kann jedoch von der jeweiligen Aufsichtsbehörde überprüft und ggfs. abgeändert werden. Die letztliche Entscheidung trifft die Europäische Aufsichtsbehörde.
Grenzüberschreitende Datenverarbeitung mit Hauptsitz außerhalb der EU
Für den Fall, dass der Hauptsitz außerhalb der EU ist und dort auch alle Entscheidungen getroffen werden sieht die DSGVO allerdings keine Lösung vor (Vergl. unter Ziff. 2.2 WP244).
Handlungsempfehlung
Als Handlungsempfehlung sollten Sie daher bei grenzüberschreitender Datenverarbeitung prüfen, in welchem Land die jeweiligen Entscheidungen getroffen werden. Es kann durchaus sein, dass z.B. in Kundenfragen eine andere Aufsichtsbehörde zuständig sein kann als in Beschäftigtenfragen. Im Zweifel sollte die Datenschutzverletzung sicherheitshalber sowohl in dem Land gemeldet werden, in dem die Verletzung stattgefunden hat als auch in dem Land, in dem die diesbezüglichen Entscheidungen zu der Verarbeitung getroffen wurde.
Wir können davon ausgehen, dass die Aufsichtsbehörden sich untereinander unterstützen, sie sind ohnehin verpflichtet, sich gegenseitig Amtshilfe zu leisten.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Letzte Woche hat das EU-Parlament für eine Aussetzung des EU-US-Privacy Shields (informelle datenschutzrechtliche Absprache, zwischen der Europäischen Union und den USA) gestimmt. Und zwar so lange bis die USA ausnahmslos alle Bedingungen des Datenschutzabkommens erfüllen.
Das EU-Parlament hat mit 303 zu 223 Stimmen für eine Nachbesserung gestimmt. Wenn diese nicht zügig erfolgt, wird das Privacy Shield ab 1.September 2018, mit großen Folgen für die Wirtschaft, ausgesetzt. Das Privacy Shield ist schlichtweg mangelhaft. Es wurde eine lange Mängelliste aufgeführt. Hauptsächlich werden hier die mangelnden Zusagen der US-Regierung und die weitreichenden Zugriffsmöglichkeiten der amerikanischen Behörden auf persönliche Daten von EU-Bürgern kritisiert. Es bietet aktuell kein angemessenes Schutzniveau, wie es seitens der EU gefordert wird.
Es bleibt abzuwarten in welche Richtung man hier tendiert, wir halten Sie dazu auf dem Laufenden.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin